WAFとは?PCI DSSの要件にみるWAF導入のメリット

 2019.10.30  株式会社ジェイピー・セキュア

Webサイトのセキュリティ対策を強化するのに欠かせない存在となったWAF(Web Application Firewall)。今日、すべてのWebサイトはサイバー攻撃の脅威に晒されていると言っても過言ではなく、個人情報の窃取やサイト改ざんなど、会社の信頼を揺るがすような事件・事故が多発しているのが現状です。

そうした脅威からWebサイトを保護する役割を果たすのがWAFなのですが、そもそもどういったセキュリティ製品なのか?本稿では、WAFの基本とPCI DSSの要件にみるWAF導入のメリットについて解説しています。Webサイトセキュリティを強化したい、サイバー攻撃による情報漏えいやサイト改ざんが心配だ、サービスに安全性という付加価値を持たさせたいなどのニーズを持っている場合は、ぜひWAFにご注目ください。

WAFとは?

WAFを解説するにあたり、まずは「Webアプリケーション」と「脆弱性」について知っていただきたいと思います。

Webアプリケーションとは、皆さんがインターネットを通じて日頃から使用しているアプリケーションのことで、検索エンジンやインターネットバンキング、ブログなど、Webを介して利用するアプリケーションと考えるとイメージしやすいと思います。
Webアプリケーションの開発には、Ruby・PHP・Python・Java・JavaScript・HTML・CSSといったプログラミング言語が使用され、クライアントとWebサーバーがHTTPプロトコルにしたがって通信し、ユーザーからのメッセージなどの入力や検索結果に対して応答します。
Webを介してクライアントからの要求に動的に応答するプログラムのセキュリティ上の問題、つまり脆弱性が存在すると外部からの情報の窃取や改ざんを許すことになるため、安全なWebアプリケーション、サイト運営には脆弱性対策がとても重要です。

脆弱性は自社開発におけるコーディングの際に生じてしまうケースや使用しているフレームワーク、CMSで脆弱性が発見されるといったケースがあります。ソースコードにちょっとした不備があっただけでも、それがセキュリティ上の大きな問題となり、情報漏えいやサイト改ざんといった被害に繋がる危険性があります。

ここで本題に戻ります。WAFとは、Webアプリケーションに対して実行されるサイバー攻撃を防御するためのセキュリティ製品です。脆弱性をゼロにすることは、現実的に考えて難しい面があります。Webアプリケーションは継続的な改善が加えられますし、人手を介する作業であるためミスが絶対に生じないと言い切ることはできません。また、Apache Struts 2やWordPressといったフレームワーク、ソフトウェアにおいても脆弱性が発見されることがあります。開発・提供元からの脆弱性情報がないか情報収集に努め、適切な対策を講じる必要があります。

そこでWAFの登場です。WAFは、クライアントからWebサーバーへのHTTP/HTTPS通信の内容を1つ1つ検査して、不正なアクセスがないかをチェックします。不正アクセスや脆弱性を悪用する攻撃と思わしき通信があれば、即座にアクセスを遮断し、Webアプリケーションを保護します。万一の脆弱性に備えて、また運用上の問題ですぐにバージョンアップすることができない事態など、WAFを導入しているとセーフティネットとして大きな役割を果たします。

では、WAFは数あるサイバー攻撃の中でもどういった攻撃を防げるのでしょうか?

SQLインジェクション

SQL文を含んだ入力データを送信してデータベースに不正にアクセスする。データベース内の機密情報の漏洩やデータ改ざんにより、大きな被害を受ける恐れがある。

関連記事:WAFによるSQLインジェクション攻撃の防御

クロスサイトスクリプティング

脆弱な標的サイトにアクセスするように仕向けることで、ウェブサイトが本来想定していない機能(スクリプト実行など)をブラウザ側で実行させる。Cookieのセッション情報が盗まれるなどの恐れがある。

クロスサイトリクエストフォージェリ

対象ウェブサイトの投稿や登録といった重要な機能について、他のサイトから本来の手順を経ずにクライアントに実行させる。なりすまし投稿などに悪用される恐れがある。

OSコマンドインジェクション

OSコマンドを含んだ入力データを送信してサーバー上のリソースに不正にアクセスする。サーバー上で任意のコマンドが実行された結果、大きな被害を受ける恐れがある。

ディレクトリトラバーサル

ディレクトリパスを遡ってサーバー上のファイルに不正にアクセスする。本来公開を意図していないファイルへの参照・実行の恐れがある。

改行コードインジェクション(HTTPヘッダ、メールヘッダ)

改行コードを含んだ入力データを送信して、HTTPレスポンスヘッダやHTTPレスポンスを改ざんする。クライアントは偽りのCookieやページ内容による影響を受ける可能性がある。任意のメールヘッダの挿入や本文の改変、不正なメール送信に悪用される可能性もある。

WAFは、Webアプリケーションの脆弱性を悪用する攻撃の防御に特化した製品であり、様々な脅威からWebサイトを保護します。

 

PCI DSSとは?

2004年に国際クレジットカードブランド5社(VISA、JCB、MasterCard、American Express、Discover)により、クレジットカード情報の安全な取り扱いを目的として策定された国際セキュリティ基準をPCI DSSと呼びます。ちなみに「Payment Card Industry Data Security Standard」の略です。

今では「PSI DSS」と聞いて、クレジットカード情報を保護するためのセキュリティ対策要件をまとめた認証制度と理解できる方は多いでしょう。2018年6月1日より改正割賦販売法が施行され、クレジットカードを取り扱う加盟店において「クレジットカード番号などの適切な管理」及び「クレジットカード番号の不正利用の防止」を講じることが義務付けられたことが大きな要因になっています。同法律では、クレジットカード会社との間で契約を締結している加盟店に対し、クレジットカード情報保護対策として「カード情報の非保持化」あるいは「PCI DSSへの準拠」が義務化されています。

PCI DSSが策定されるまでのクレジットカード業界では、ブランドごとに独自のセキュリティ基準を採用していたことから、業界で統一されたルールを持たず、会員情報の流出・悪用といった事件が多発していました。さらに、インターネットの普及により新しい決裁手段やサービスも登場し、サイバー攻撃がより高度化したことで、大規模な情報漏えい事件が発生しました。

この状況を鑑みて、国際クレジットカードブランド5社がセキュリティ対策の強化と、クレジットカード情報の効率的な運用を目指して策定したセキュリティ基準がPCI DSSです。2004年の策定当時、日本国内ではほとんど認知されておらず、準拠する企業も雀の涙ほどでした。その後2012年に日本クレジット協会がPCI DSSへの準拠実行計画を公表し、PCI DSSへの準拠を意識した行動計画が始まります。一方で、2013年にEMCジャパンが行った調査によると、世界16ヵ国中、日本のセキュリティ成熟度は最下位という結果が出ています。そもそも、日本企業の情報セキュリティ対策に対する認識が甘かった、ということが読み取れます。

出典:ZDnet Japan『セキュリティ対策「後進国」日本の処方箋」

PCI DSSの要件にみるWAF導入のメリット

WAFの導入は、PCI DSSのような国際基準の準拠にもメリットがあります。それは、PCI DSSの12の要件のうち下記に該当します。

<PCI DSS要件「6. 安全性の高いシステムとアプリケーションを開発し、保守する」>

6.6 一般公開されている Web アプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法によって、既知の攻撃から保護されていることを確実にする。

  • 一般公開されている Web アプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって、少なくとも年 1 回および何らかの変更を加えた後にレビューする。
  • Web ベースの攻撃を検知および回避するために、一般公開されているWeb アプリケーションの手前に、Web ベースの攻撃を自動的に検出・防止する技術的な解決策(Web アプリケーションファイアウォールなど)をインストールする。

引用:『Payment Card Industry(PCI)データセキュリティ基準

少しかみ砕いて説明しますと、同要件を満たすにはWAFを導入するか、脆弱性評価ツールによって年1回以上のレビューと変更後のレビューを行う必要があります。コスト面を考慮して後者の方法で準拠する事業者も多いですが、定期的な診断とレビューには相応の体制や仕組みが整っていることが前提となります。

そのため、すべての事業者に当てはまる方法ではなく、脆弱性を悪用する攻撃から永続的にWebサイトを保護するWAFを有効活用した方が、日常的に強度の高いセキュリティ対策を実行できるケースも多いと考えられます。

いかがでしょうか?WAFの基本に加えて、PCI DSSとWAF導入のメリットについて解説させていただきました。サイバー攻撃による被害が起こってからでは遅いので、事前対策としてのWAF導入をおすすめします。

WAFとは ~ SiteGuardシリーズが選ばれる理由 ~

SITEGUARD
ジェイピー・セキュアソフトウェアライセンス価格表

RELATED POST関連記事


RECENT POST「技術動向」の最新記事


WAFとは?PCI DSSの要件にみるWAF導入のメリット
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング

TOPIC トピック一覧